U GDPR hè statu creatu per dà à i citadini di l'UE più cuntrollu di e so dati persunali. È in quantu à u numeru di reclami, u scopu hè statu "ottenutu": in l'annu passatu, l'Europeani anu cuminciatu à signalà violazioni da e cumpagnie più spessu, è e cumpagnie stesse ricevenu. è hà cuminciatu à chjude rapidamente i vulnerabili per ùn riceve una fine. Ma "di colpu" hè risultatu chì u GDPR hè u più visibile è efficace quandu si tratta sia di evasione di sanzioni finanziarie sia di a necessità di rispettà. È ancu di più - cuncepitu per mette fine à e fughe di dati persunali, u regulamentu aghjurnatu diventa a so causa.
Diciamu ciò chì succede quì.
Фото - - Unsplash
Chì ghjè u prublema
Sutta u GDPR, i citadini di l'UE anu u dirittu di dumandà una copia di e so dati persunali almacenati in i servitori di una cumpagnia. Ricertamenti hè diventatu cunnisciutu chì stu mecanismu pò esse usatu per cullà u PD d'una altra persona. Unu di i participanti à a cunferenza Black Hat , durante u quale hà ricevutu archivi cù dati persunali di a so fidanzata da diverse cumpagnie. Hà mandatu dumande pertinenti in nome di ella à 150 urganisazioni. Curiosamente, u 24% di l'imprese solu bisognu di un indirizzu email è un numeru di telefunu cum'è prova d'identità - dopu avè ricivutu, tornanu un archiviu cù i schedari. Circa u 16% di l'urganisazioni anu dumandatu ancu e fotografie di un passaportu (o altru documentu).
In u risultatu, Ghjacumu hà sappiutu ottene i numeri di a Seguretat Soziale è di a carta di creditu, a data di nascita, u nome di nuciela è l'indirizzu residenziale di a so "vittima". Un serviziu chì permette di verificà se un indirizzu email hè statu filtratu (un esempiu di serviziu seria ), ancu mandatu una lista di dati di autentificazione utilizati prima. Sta infurmazione pò purtà à pirate se l'utilizatore ùn hà mai cambiatu e password o l'utilizanu in un altru locu.
Ci sò altri esempi induve e dati finiscinu in e mani sbagliate dopu esse mandati "erronamente". Dunque, trè mesi fà unu di l'utilizatori di Reddit infurmazione persunale nantu à sè stessu da Epic Games. Tuttavia, hà mandatu per errore u so PD à un altru ghjucatore. Una storia simile hè accaduta l'annu passatu. Client Amazon Un archiviu di 100 megabyte cù dumande Internet à Alexa è millaie di fugliali WAF di un altru utilizatore.
Фото - - Unsplash
I sperti dicenu chì unu di i mutivi principali per l'occurrence di tali situazioni hè l'incompletezza di u Regolamentu Generale di Proteczione di Dati. In particulare, u GDPR specifica u marcu di tempu in u quale una cumpagnia deve risponde à e dumande di l'utilizatori (in un mese) è specifica ammende-finu à 20 milioni d'euros o 4% di i rivenuti annuali-per fallimentu di rispettà stu requisitu. Tuttavia, i prucedure attuali chì duveranu aiutà e cumpagnie à rispettà a lege (per esempiu, assicurendu chì e dati sò mandati à u so pruprietariu) ùn sò micca specificati in questu. Per quessa, l'urganisazione anu da esse indipindenti (a volte per prucessu è errore) custruiscenu i so prucessi di travagliu.
Cumu possu migliurà a situazione?
Una di e pruposte più radicali hè di abbandunà u GDPR o di rinfriscà radicalmente. Ci hè una opinione chì in a so forma attuale a lege ùn viaghja micca, postu chì hè assai è troppu strettu, è avete da spende assai soldi per risponde à tutti i so bisogni.
Per esempiu, l'annu passatu, i sviluppatori di u ghjocu Super Monday Night Combat sò stati custretti à annullà u so prughjettu. Sicondu i so creatori, u budgetu necessariu per riprogettà i sistemi per GDPR , attribuita à u ghjocu di sette anni.
"I picculi è e medie imprese ùn anu micca spessu i risorsi tecnologichi è umani per capiscenu i bisogni di i regulatori è fà e preparazioni necessarie", cumenta Sergey Belkin, capu di u dipartimentu di sviluppu di u fornitore IaaS. . "Questu hè induve i grandi venditori è i fornitori IaaS ponu vene in salvezza, furnisce una infrastruttura IT sicura in affittu. Per esempiu, in 1cloud.ru pusemu u nostru equipamentu in un centru di dati, secondu u standard Tier III è aiutanu i clienti à rispettà i requisiti di a Legge Federale Russa-152 "In Dati Personali".
Фото - - Unsplash
Ci hè ancu un puntu di vista oppostu, chì u prublema quì ùn hè micca in a lege stessu, ma in u desideriu di l'imprese per cumpiendu i so esigenze solu formalmente. Unu di i residenti di Hacker News : u mutivu di fughe di dati persunali si trova in u fattu chì l'urganisazione i miccanismi di verificazione più sèmplice, chì sò dettati da u sensu cumunu.
In un modu o l'altru, l'Unione Europea ùn hà micca da abbandunà u GDPR in un futuru vicinu, cusì a situazione chì hè stata lampata durante a cunferenza di Black Hat deve serve com'è un incitamentu per l'imprese per pagà più attente à a sicurità di e dati persunali.
Ciò chì scrivemu nantu à i nostri blog è e rete suciale:
1 infrastruttura cloud in Mosca in Dataspace. Questu hè u primu centru di dati russu à passà a certificazione Tier lll da l'Istitutu Uptime.
Source: www.habr.com